Primeiramente, excelente curso! Professor Daniel é fera de mais!
Se não entendi errado, a implementação feita nesse curso serve para APIs privadas, onde sabemos exatamente quais aplicações irão consumir a API. Dessa forma a definição dos receptores do token (audiences) acaba sendo estática - aplicações dentro de uma empresa que consomem a API da própria empresa, por exemplo (no caso do curso foi usado o Postman como aplicação permitida). Fiquei curioso pra saber como seria a implementação de uma autenticação em uma API pública onde, em tese, os receptores do token são dinâmicos, visto que qualquer pessoa pode criar uma conta e fazer chamadas à API. É o que acontece nas APIs de plataformas de pagamento como PayPal, por exemplo.
Há algum material aqui na Alura que possa suprir essa minha curiosidade?
Desde já agradeço!
